等保咨询服务
l服务简介
通过梳理分析用户相关业务系统存在的安全风险,明确贯彻落实等级保护2.0是关键基础,是用户单位的客观需要。而企业合规要求是国家信息安全保障工作的基本制度,也是国家法律的基本要求,在促进信息化、维护国家信息安全的根本保障结合等级保护基本要求的防护思路下,总结提炼出应对用户现有业务安全风险的安全需求,对安全技术方面(技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理,根据用户目标网络与信息系统的所定等级,按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》所对应等级的基本要求,从技术要求和管理要求两个方面,进行差距分析,为网络安全等级保护可落地的建议,向用户提供等保测评咨询服务。
l服务内容
Ø等保定级调研
确定测评范围:明确本次被测评系统的范围,包括信息系统的边界等。 获得信息系统的信息:通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。确定具体的评估对象:初步确定信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等;也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
Ø组织专家定级评审会
通过组织专家评审会,确保用户的信息系统定级科学准确。
Ø等保差距分析
确定等保测评服务工作的方法:根据信息系统安全等级情况、系统规模大小等,明确本次评估的方法。制定等保测评服务工作计划:制定工作计划或方案,说明评估服务范围、评估服务对象、工作方法、人员组成、角色职责、时间计划等。 工作方法包括通过人工及自动方式,展开问卷调查、配置核查、漏洞扫描等工作,确保获取用户具体信息,以便让差距分析更为精准,并提供复测服务,确保符合等保测评标准。通过本次等保服务项目,完成以上信息系统在等级保护正式测评前的所有文档的建立及系统完善工作,以使信息系统能满足国家规定的信息系统三级等保的测评基本要求。
Ø协助整改加固
针对客户缺少的相关安全防护设备,需要采取租赁设备,来保障等保测评期间的安全防护能力。
Ø协助等保申报
根据等级保护相关要求,协助甲方到公安机关领取备案证明。协助用户,回答备案时,工作人员的问询及技术答疑。
